Securi-toile

Vous êtez sur : Législation

Quel risque juridique et penal pour les entreprises ?

Eric Seguinard
Envoyer Imprimer PDF
Henri Leben

Selon Henri-Leben de nombreuses entreprises sont amenées à déclarer auprès de la CNIL des fichiers de données personnelles constitués à partir des informations fournies par leur clientèle. Les précautions qui accompagnent l’exploitation de ce type de fichiers sont en général bien connues. Les données doivent avoir été collectées auprès de personnes ayant donné leur consentement, en vue d’une finalité déterminée. Elles doivent être conservées pendant une durée en rapport avec cette finalité et doivent être accessibles/modifiables par la personne auprès de qui elles ont été collectées. Moins connu est le risque pénal qui pèse sur l’entreprise et sur le responsable du traitement, lorsque l’accès à ces données n’est pas suffisamment bien protégé.

L’ouverture des entreprises au réseau internet s’est accompagnée de nouveaux risques juridiques, aggravés par un durcissement législatif en terme de responsabilité.
En effet, les défaillances de sécurité, qui rendaient hier l'entreprise victime en cas d’intrusion ou d’entrave à son traitement automatisé de données1, peuvent désormais la rendre responsable, voire coupable. Ce peut être le cas, par exemple, lorsqu'une faille de sécurité permet l'accès aux données de l'entreprise ou lorsqu'un virus est rediffusé à travers elle.

Les sanctions pénales en cas d’atteinte au traitement automatisé de données

L’article 34 de la loi Informatique et Libertés du 6 janvier 1978 prévoit en effet que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (…) ». Le fait de ne pas prendre les précautions adaptées peut être sanctionné par une peine d’emprisonnement allant jusqu’à 5 ans de prison et donner lieu à une amende de 300.000 €.

Toute entreprise qui gère des données doit donc, avant d’engager toute collecte, s’assurer des quatre éléments suivants :
  • les données collectées sont-elles des « données à caractère personnel » au sens de la loi Informatique et Libertés ?
  • en cas de réponse positive, les obligations de déclaration ou les demandes d’autorisation auprès de la CNIL en vue de la constitution du fichier ont-elles été respectées ? 
  • les procédés garantissant le droit des personnes auprès desquelles les données ont été collectées sont-ils efficients ?
  • les données sont-elles suffisamment sécurisées pour éviter toute atteinte à leur contenu ou tout accès par une personne non autorisée.

La question de la sécurité du réseau est donc une question majeure en matière de données à caractère personnel.

La directive du 24 octobre 1995 (données personnelles) précise d’ailleurs que le responsable du traitement doit mettre en oeuvre

« les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».

La jurisprudence déduit de ces dispositions que l’obligation de sécurité qui pèse à la charge du responsable du traitement des données vaut tant pour les risques informatiques (intrusions, cheval de Troie, etc.) que pour les risques matériels (incendies, vol physique de données, etc.).

En pratique, les mesures prises doivent être conformes à l’état de la technique et adaptées au risque présenté par les données. Il est évident qu’un défaut de sécurité d’un fichier portant sur des données dites « sensibles », sera sanctionné plus lourdement que lorsque la défaillance concerne des données plus anodines.

S’il n’est pas exigé du responsable du traitement des données une obligation de résultat, il devra néanmoins être en mesure de prouver qu’il a mis en œuvre toutes les mesures pouvant raisonnablement être attendues pour s’assurer du respect de l’intégralité du fichier.

Ce problème est d’autant plus crucial que la défaillance du responsable du traitement pourra justifier des poursuites pénales tant à son égard qu’à l’égard de la société qui l’emploie. Pour mémoire, la peine prévue à l’article 226-17 du Code pénal est de cinq ans d’emprisonnement et de 300.000 € d’amende, ce dernier montant pouvant être porté à 1.500.000 € lorsque c’est la responsabilité de l’entreprise qui est en jeu.

A noter que le procureur sera également en droit d’exiger l’effacement des données du fichier insuffisamment protégé, s’il estime que la défaillance constatée présente un risque d’atteinte à la vie privée des personnes dont les données ont été collectées.

La sécurisation des données présente ainsi un risque juridique réel, dont le traitement insuffisant est susceptible d’avoir des conséquences tant pénales qu’économiques.

Source : globalsecuritymag.fr

Mentions légales   Audit de sécurité boîte noire

Contactez moi

  1. Nom :
    Svp entre votre nom
  2. Prénom :
    Votre prénom svp
  3. E-mail : (*)
    Adresse email incorrecte
  4. Téléphone : (*)
    Donnée Invalide
  5. Message : (*)
    Entre votre demande
  6.   

A propos

Sécurite informatique Eric Seguinard
Securi-Toile
9 Bd de la République
Istres 13800 France
06 10 81 62 02
Du lundi au vendredi de 9h à 19h.

Eric Seguinard , des solutions et conseils pour votre , et , .